信息安全管理体系(ISMS)是组织保护其信息资产的重要框架,GB/T22080-2008/ ISO/IEC 27001:2005是国际认可的信息安全管理标准,用于指导组织建立、实施、维护和持续改进ISMS。此文档为武汉软创科技服务有限公司在2010年的第一阶段审核报告,由广州赛宝认证中心服务有限公司执行,主要评估了公司的信息安全管理和风险评估情况。
1. 审核日期:2010年12月28日至29日,审核机构为广州赛宝认证中心,受审核单位为武汉软创科技服务有限公司,涉及的业务范围是管理应用软件的设计和开发中的信息安全。
2. 在初步的风险评估中,报告指出组织评价出的信息安全风险可能并不适应其活动特点,且风险评估的结果可靠性存疑,这需要在后续阶段进行更深入的分析和改进。
3. 组织信息安全方针和目标的建立:报告询问了组织是否按照计划建立了信息安全方针和目标,如果有,则需要提供附件证明。
4. 体系的自我监督和完善机制:报告检查了信息安全部门的设置和职责是否合理,以及是否定期进行了内部审核和管理评审,这些都是ISMS有效运作的关键部分。
5. 组织ISMS复杂性判定:根据审核,ISMS的复杂性被初步判定为中等,意味着组织的信息安全管理系统具有一定的复杂性和挑战性。
6. 一阶段审核结论:审核组认为受审核方的ISMS基本准备充分,但存在一些需要纠正的问题,计划在2011年1月中旬进行第二阶段现场审核。
7. 问题点和附件:报告包含了文审过程中发现的问题,如认证范围描述的删减理由不适当,ISMS的范围边界和风险评估的覆盖范围不完整,访问控制策略存在问题等。这些问题需要在第二阶段审核前得到解决。
8. 报告的分发和签名:报告由审核组长周筱明确认,并分别由认证中心和受审核方保存。
这份审核报告揭示了组织在建立ISMS的过程中需要注意的多个方面,包括风险评估的准确性、方针的明确性、内部审计的有效性和问题的及时整改。对于任何希望通过ISO 27001认证的组织来说,这些是成功的关键要素,必须得到充分的关注和改进。同时,报告也强调了信息安全管理体系复杂性评估的重要性,确保组织能够根据自身的特点和业务需求构建一个既实用又有效的ISMS。
VIP享7折,此内容立减4.47元 
